Javaの脆弱性を突く、ファイルを持たないマルウェアに、ロシアのコンピュータが集団感染した。同種の攻撃がロシアだけで発生するとは限らず、Windowsマシンだけが標的になるとも限らない。
仕組みは周知の通りだ。社内のエンドユーザーが感染サイトを閲覧し、知らないうちに最新型のマルウェアをダウンロードする。もしウイルス対策ソフトウェアがそれなりに機能していれば、ダウンロードを阻止するか、少なくともユーザーのHDDにある不正ファイルを検出、隔離してくれる。だがHDDに検出すべきファイルがなかったとしたら? もしもマルウェアがメモリだけに存在し、まさか破られるとは管理者もウイルス対策ソフトウェアもOSさえも思っていない、信頼すべきプロセスの下で実行されていたとしたら?
2012年にロシアで発生したのは、まさにこうした事態だった。特異な種類のマルウェア、すなわちファイルを持たない「ファイルなしボット」に30万台以上のコンピュータが感染。このボット(インターネットを介して自動化されたタスクを実行できるソフトウェアロボット)は、誰にも邪魔されずに活動を続けた。
数カ月たってロシアKaspersky Labが、珍しい種類のマルウェアがロシアのオンライン情報リソースを通じて増殖していると発表した。サードパーティー広告ネットワークのAdFoxからWebサイトへ配信した広告にJavaマルウェアが仕込まれており、サイバー犯罪集団が運営するダウンロード用サーバにブラウザのユーザーを誘導していた。
ファイルなしボットは、以下の5つのステップで情報を盗み出す。
ユーザーが感染サイトを閲覧する。それ以外の動作は必要ない。ユーザーは、気付かないままサイバー犯罪者のサーバ(マスターサーバ)へリダイレクトされる。
マスターサーバが、暗号化されたDLLをユーザーのコンピュータのJavaプロセス(javaw.exe)に挿入する。javaw.exeは、マシンのメモリ内で実行される。また、このDLLは、Javaの周知の脆弱性を悪用する(これについては後述する)。
Cookieによる効果測定に不足を感じる広告宣伝担当者が増加――サイカ調査
広告配信などにおけるCookie利用の制限が検討されています。一方で、企業の広告宣伝担当...
「TikTok Ads」2019年の振り返りと2020年の展望
もう「踊ってみた」動画だけではない。急成長する広告配信プラットフォーム「TikTok Ads...
「メルカリハイ」の謎を解く――4人に1人が100円以下の利益でもフリマアプリに出品
なぜ人は100円以下の少額利益でもフリマアプリに出品してしまうのか。謎を解く鍵は「承認...